China als Hauptquelle für APT-Angriffe bestätigt
Im ersten Quartal fielen koordinierte Spionageaktionen im Cyberraum besonders auf, wobei APT-Gruppen wie Mustang Panda und UNC4191 mit China in Verbindung gebracht wurden. Diese Akteure waren für erstaunliche 79 Prozent aller staatlich unterstützten Angriffe verantwortlich.
Zukünftig ist zu erwarten, dass APT-Gruppen weiterhin die Verknüpfung von Spionage und Störungen im Cyberraum mit herkömmlichen militärischen Aktivitäten anstreben. Diese Schlussfolgerungen gehen aus dem aktuellen CyberThreat Report hervor, der eine Zunahme von Angriffen auf den Finanz-, Telekommunikations- und Energiesektor belegt.
Der Juni-Bericht des Trellix Advanced Research Center enthält wichtige Erkenntnisse zu den Sicherheitstrends des ersten Quartals 2023. Der Bericht basiert auf einem globalen Netzwerk professioneller Beobachter, die täglich mehr als 80 Millionen sicherheitsrelevante Vorfälle dokumentieren und untersuchen. Durch die Kombination von Telemetriedaten aus 1 Milliarde Sensoren mit Informationen aus Open- und Closed-Source-Quellen liefert Trellix umfassende Einblicke in das CyberThreat-Geschehen.
„Ein Jahr nach Beginn des Ukrainekriegs haben sich Cyberangriffe zu einer strategischen Waffe entwickelt, die von Staaten gezielt eingesetzt wird, um Spionage zu betreiben und gesellschaftliche Spaltungen voranzutreiben“, erklärt John Fokker, Head of Threat Intelligence im Trellix Advanced Research Center.
„Bekannte APT-Gruppen stellen sowohl für führende Wirtschaftsnationen als auch für Schwellenländer eine reale Bedrohung dar, insbesondere für kritische Infrastrukturen wie Telekommunikation, Energieversorgung und Produktion. Öffentliche und private Akteure müssen dringend angemessene Abwehrmaßnahmen ergreifen, um sich vor den zunehmend raffinierten Angriffen staatlich unterstützter Cyberkrimineller zu schützen.“
Der jüngste Bericht des Trellix Advanced Research Center beleuchtet sicherheitsrelevante Aktivitäten in den Bereichen Ransomware, Nation-State-APT-Angriffe, E-Mail-Bedrohungen und Missbrauch von Sicherheitstools. Dabei wurden folgende Hauptergebnisse herausgestellt:
Koordinierte Spionage im Cyberraum: Im ersten Quartal waren APT-Gruppen wie Mustang Panda und UNC4191 mit China am auffälligsten, und sie waren für 79 Prozent aller festgestellten staatlich unterstützten Angriffe verantwortlich. Die Verbindung von Spionage und Disruption im Cyberraum mit herkömmlichen militärischen Aktivitäten wird auch in Zukunft erwartet.
Ransomware: Finanzieller Gewinn steht nach wie vor im Vordergrund, weshalb der Versicherungs- und Finanzsektor häufige Ziele sind. US-amerikanische Unternehmen mittlerer Größe mit 51 bis 200 Mitarbeitern und einem Umsatz von 10 bis 50 Millionen US-Dollar sind die Hauptopfer von Leak-Sites.
Beliebtheit von Cobalt Strike: Trotz der Bemühungen, Cobalt Strike weniger attraktiv für missbräuchliche Zwecke zu machen, hat es bei Cyberkriminellen und Ransomware-Akteuren an Beliebtheit gewonnen. Cobalt Strike war an 35 Prozent der Nation-State-Aktivitäten und 28 Prozent der Ransomware-Bedrohungen beteiligt.
Schwachstellen und Cloud-Angriffe: Viele kritische Schwachstellen entstehen aufgrund von Umgehung von Patches, Lieferketten-Bugs oder unzureichender Sicherheitsmaßnahmen. Cyberkriminelle konzentrieren sich vermehrt auf die Infrastruktur von Amazon, Microsoft und Google und nutzen dabei vor allem den unbefugten Zugriff auf legitime Benutzerkonten.
Der CyberThreat Report basiert auf proprietären Daten des Trellix-Sensornetzwerks, Analysen des Trellix Advanced Research Center zu staatlich unterstützten und kriminellen Cyberaktivitäten sowie Informationen aus Open- und Closed-Source-Quellen und Leak-Sites von Bedrohungsakteuren. Die Telemetrie-basierte Erkennung und Meldung von Dateien, URLs, IP-Adressen, verdächtigen E-Mails, Netzwerkverhalten und anderen Indikatoren über die Trellix XDR-Plattform dient als Nachweis für Bedrohungen.